高校网络安全现状及对策分析
2019-11-30宋瑶朱坤
文/宋瑶 朱坤
1 引言
随着云计算、大数据、物联网、移动互联网等新技术的发展和应用,以及国家提出的“互联网+”行动计划的实施,各大高校纷纷加入互联网信息化建设的大军。近年来,教育信息化已经从数字校园迈向了智慧校园,这使得师生越来越信赖和离不开互联网,利用校园网进行资源交流与共享,享受着互联网带来的便捷。但是,现在高校信息化处于建设的初期,缺乏对网络和信息安全建设的考虑,导致目前高校网络和信息安全建设滞后于信息化建设。当前,网络安全与信息化也被提到了国家发展战略的高度,随着《中华人民共和国网络安全法》的出台以及互联网安全形势的日益严峻,党中央对教育领域网络安全工作提出了更高的要求。再加上国际网络安全大事不断,在2017年,勒索病毒席卷全球,中国很多操作系统遭受感染,高校校园网用户首当其冲,大量实验室数据和毕业生数据涉及被锁定和加密。部分高校的应用系统和数据库文件被加密后,无法正常工作,影响巨大。保障校园网络安全,营造健康的网络环境,已成为各高校所必须面对的命题。
2 校园网现状
2.1 互联网资产不断增加
随着互联网与信息技术的不断发展,“互联网+”思维方式在教育领域中的运用也越来越广泛,一些学校所属二级单位、高校教师希望建立属于自己的网站和信息系统用来教学、科研和管理。近五年,中国农业大学网站数量翻三倍,其中自建自管的网站/系统占网站总数六成。随着自管自建信息系统和网站的不断增多,其安全隐患大大增加。
2.2 网络攻击事件增多
网站数量的增加加速了学校信息化过程,由于学校教学资源、科研数据和学生数据信息价值的提高,信息最主要的载体---网络、计算机就成为攻击的主要对象。破坏事件增多,对网站信息系统的操作系统、数据库、应用软件、Web应用、DNS系统等可能存在的漏洞采用“黑客”手段侵入互联网站,更改网页、窃取信息,破坏了互联网和使用的计算机。很多针对网站的篡改和后门攻击等网络安全威胁都是由网站信息系统所存在的安全漏洞诱发的。来自安全牛网站的“2017年教育行业网络安全报告”显示,重点高校面对的威胁相对严重,42%机构遭受总计166,977次DDOS拒绝服务供给,其中重点高校成为了黑客的主要目标。
2.3 垃圾邮件与日俱增
垃圾邮件躲在暗处,利用互联网上的各种安全漏洞和反垃圾邮件的力量进行斗争向校园邮箱投递小广告和其他无价值的信息,造成师生邮箱源被占用。垃圾邮件的泛滥,降低了师生工作效率,导致很多师生失去了对电子邮件的信任,有部分师生减少了对校园电子邮件的使用,这不仅对学校以前网络投入的浪费,且有损学校形象。还有利用专门群发工具,学校邮件账号经常被黑客盗用成为垃圾中转站,造成学校邮件服务器IP地址被反垃圾邮件组织列入黑名单,IP信誉度严重降低,导致发往校外邮件被拒收,严重影响了师生的日常学习工作。
2.4 安全漏洞层出不穷
安全漏洞主要指操作系统或者组件存在严重的安全缺陷,一旦遭受病毒或者黑客利用,可能导致信息泄漏等风险。 根据安全牛网站报告发现,93%的重点高校存在安全漏洞,其中最为普遍的为CVE安全漏洞,这些漏洞—旦被利用,可能会造成严重的信息泄露或者系统中断。根据360网站卫士数据显示,从漏洞数量来看,云监测平台扫描检测的网站中,教育行业是存在漏洞最多的三个行业之首。在补天平台中,教育行业是人工收录漏洞最多的是三个行业之一。从漏洞修复情况来看,教育培训也是漏洞修复率最高的三个行业之一,83.3%的教育行业网站进行了修复。
3 校园网改善对策
3.1 制定规章制度
学校互联网资产数量增加,其安全隐患也随之增加。信息安全管理之道“三分技术七分管理”,因此,高校信息安全的管理是根本,并靠新的技术手段来实现。一般而言,高校信息安全管理重在平时建设,在重大活动时期确保万无一失。平时建设主要包含管理体系建设、规章制度、应急预案、系统分级、等保等,在重大活动时期只开关键业务。中国农业大学网络中心已制定和规范学校网站/信息系统的管理制度、密码口令管理制度、应急响应制度以及人员管理制度,制定了操作手册,有效地落实了岗位安全责任制。在使用信息系统/网站过程中,进行自管、自查、自评,使安全运维常态化,有效的开展学校互联网资产管理业务。2018年,中国农业大学重新修订和实施《中国农业大学网络域名管理办法》,明确了校内和校外的域名管理责任及责任处理,保障了我校网络安全和信息化工作的有序开展,保护了网络用户合法权益。
3.2 增加信息安全防范意识
在高校信息化应用加快向业务环节渗透过程中,我们发现高校网站管理员“重应用、轻管理”,极少管理员能认识到网络与信息安全的相对性和动态性。网站管理员能够认识到网络与信息安全的重要意义,却不懂得如何防范,有的管理员还认为信息安全是学校技术部门的事。网络安全是一件永远在路上的工作。当发生信息安全事件时,网站管理员应及时补救事件造成的危害,将信息安全事件的损失和危害降到最低,因此,这就要求高校网站管理员掌握网络安全知识和技能,同时,对网络硬件和操作系统都有全面、深入的了解和掌握。随着网络知识和技术的不断更新,网站管理员也需要有强烈求知欲、自学能力、和判断能力以应对潜在的网络隐患。中国农业大学要求各二级单位网站管理员应具有处理和解决网站/系统存在安全漏洞的能力、对系统安全潜在风险有足够的判断力、具有更强的责任心、更加地重视网络安全,主动承担网站/系统安全防护工作,主动对信息系统及基础设施进行隐患排查,保障学校信息安全。
师生应培养较强的信息安全防范意识. 熟悉学校在信息安全方面的规定和要求,比如师生个人邮箱密码一定用强的、不轻信他人、关注学校的宣传等。保护个人隐私、不轻易泄露自己的信息,对冒充“老师”身份具有识别能力,掌握各种防骗知识。为此,中国农业大学在校园内发放宣传资料,利用校园网络、广播、宣传栏、知识竞赛等多渠道多种形式介绍网络安全知识,培育师生的安全意识和文明网络素养。在2018年,中国农业大学启动了“校园软件正版化”项目,为我校师生和各单位提供微软正版操作系统和办公系统使用许可,让师生安装可靠的杀毒软件,确保安全软件的安全性;同期,开展了网络安全宣传周,举办网络安全知识宣讲活动,为师生科普网络信息安全知识,引导师生增强网络安全意识,提高师生网络安全防护技能。
3.3 网络安全技术产品保障
解决网络安全问题,需要清楚网络中存在的隐患和漏洞。 仅仅依靠网络管理员的经验寻找安全漏洞是不够的。计算机漏洞和病毒的威胁,决定了安全问题不是一劳永逸的。只有降低网络隐患,有效利用安全技术和安全产品来保障系统与网站的安全。无论在平常还是重大活动时期,网站系统都是关键点,需要定期检测。中国农业大学采用Web应用漏洞扫描一年多次对全校网站/系统进行漏洞扫描,帮助各个网站管理员了解信息系统/网站的安全状况。根据扫描结果,对网站/系统安全问题严重的单位下发整改函并提供漏扫报告。要求中危漏洞以上的必须处理,低危和信息漏洞虽然没有中高危漏洞严重,但在某些特定情况下也会达到高危漏洞的危害程度,因此也要求处理。使用漏洞扫描系统,加强了安全隐患的排查,取得了良好的效果。除此之外,中国农业大学要求在网站上线前必须通过漏扫才可对外放开。
3.4 事件监测
《国家安全法》第25条明确规定:“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”,明确要求保护关键基础设施和重要领域信息系统。《网络安全法》明确规定关键信息基础设施保护,既是我国网络安全严峻形势的迫切需要,也是切实贯彻《国家安全法》的必然要求。
中国农业大学在关键基础设施和重要领域信息系统及数据方面建立管理运维平台,能够对学校有形资产如交换机、路由器、服务器、存储、无线APP等和无形资产如IP地址、域名、网站系统、数据库系统等进行统一的专门的管理,方便相关数据统计。监控平台可以对关键基础设施和重要领域信息系统的实时运行状态进行监控,对状态异常的资产及时跟进处理。
除此之外,中国农业大学拥有网站安全综合管理平台,可以利用资产识别系统和备案管理系统,通过网站和系统的自学习来摸清中国农业大学域名及网站哪些在提供服务、哪些存在异常、哪些没有备案等,通过信息系统/网站备案对网站进行安全监测,能够保证一旦被黑客攻击,找到所有者或维护人,减少应急前期响应时间。同时,利用网络爬虫对指定的网站/系统、主题持续监测,对存在大量的不再使用却未注销的网站和一些“僵尸网站”进行清理。对暗链、敏感词、恶意篡改等网页进行旁路阻断,辅助网站的安全监控和态势分析。
3.5 多种监测,避免邮件黑名单
电子邮箱作为学校进行国内外事务,教学科研交流的基本途径之一,其安全性、稳定性将对学校的教学科研等活动有着比较重要的影响。电子邮件在提升沟通效率的同时,许多计算机病毒、不良信息通过电子邮件肆意扩散,也给校园网络信息安全造成了重大威胁。
中国农业大学非常重视电子邮件系统,并将其作为重点工作对象来抓。为保障邮件系统的安全、平稳运行,一年多次对邮件系统的安全性、运行情况及性能进行全面的巡检。通过下面几种手段保护邮件系统安全:
(1)定期监测弱密码用户,并对这些账户立即通知修改密码,防止用户信息泄露。
(2)反垃圾策略:定期对发送垃圾邮件账户进行清理,对其账户进行锁定,防止别人利用发送垃圾账户发送邮件炸弹,同时通过在黑名单中添加其发送垃圾邮件IP地址、邮件域名的方法防止其再次投递垃圾邮件;设置过滤规则,拒收超过一定规模的信件,对一些垃圾邮件常用字生成垃圾邮件垃圾拦截策略,对特定垃圾邮件进行拦截。
(3)及时发布邮件安全相关公告,警惕“诈骗邮件”、防范“钓鱼邮件”,减少师生遭受恶意勒索邮件攻击,避免重要文件信息被恶意加密。
目前,我校邮件系统收发正常,特别是海外邮件接收和发送顺畅。垃圾邮件问题得到明显改善,现在安全平稳运行,也为邮件系统日常管理减少很多不必要的麻烦。
4 结束语
高校信息化的到来使得校园网络成为学校重要的现代化基础设施。校园网络的发展也随之带来了相关的安全隐患。怎样才能将校园网络在安全稳定的环境里运行,通过增强网络安全意识,了解校园网存在的安全隐患,时刻关注新的管理技术与安全防御技术等,各个高校都在摸索寻求自己的最佳处理方式。本文具有一定的实用性,提供了新思路,供各大高校参考,具有一定的现实指导意义。